事件描述
对大型安全解决方案提供商的攻击总能引发关注。F5公司在声明中确认,今年8月发现其基础设施遭到入侵(该信息也包含在SEC文件中)。据新闻办公室提供的信息,攻击背后是“高度复杂的国家级威胁行为者”,即由国家支持的APT组织。需要指出的是,除了公关效应外,这一说法可能确实反映了攻击者的技能水平。尽管攻击的技术细节尚未公开,但潜在影响可能持续影响客户多年。F5表示,目前没有证据表明CRM系统中的客户信息发生泄露,也没有证据表明其他解决方案(如NGINX)受到此事件影响。根据美国司法部的要求,攻击消息被延迟公开。
内容概要
- F5公司通知用户发现与其BIG-IP产品相关基础设施的未授权访问
- 攻击者长期维持访问权限,可能获取了未公开漏洞信息、产品源代码及部分客户配置
- 官方声明保证供应链和其他产品(如NGINX)未在攻击中受损
- 厂商已发布攻击者可能接触到的漏洞补丁
受影响范围
被入侵的是BIG-IP产品的开发和工程平台。攻击者借此获取了BIG-IP源代码信息以及尚未公开的已发现漏洞信息。此外,攻击者还窃取了包含部分客户实施和配置细节的数据。公司表示正在分析被盗信息,并与可能受影响的各方合作。
NSCS信息公告指出事件涉及以下组件:
硬件:BIG-IP iSeries、rSeries及EOL设备 软件:运行BIG-IP(F5OS)、BIG-IP(TMOS)、Virtual Edition(VE)、BIG-IP Next、BIG-IQ的设备,以及BIG-IP Next for Kubernetes(BNK)/Cloud-Native Network Functions(CNF)平台
事件响应与建议
事件分析涉及Mandiant、CrowdStrike、NCC Group和IOActive等国际知名机构。目前调查尚未发现APT组织利用所获知识攻击客户基础设施的情况。但应假设这种情况可能发生——既包括厂商已知漏洞,也包括通过手动分析技术发现的、可能被犯罪分子利用的新漏洞。
建议用户:
- 识别和评估现有F5产品
- 检查管理接口是否对外暴露
- 实施严格的访问策略
- 安装最新更新后按照厂商最佳实践进行系统加固
后续影响
目前难以准确评估未授权访问造成的损失,也难以确定被盗信息被利用的后果(或影响规模)。我们等待审计人员的详细信息和报告。
据Bleeping Computer引用(现已删除)的gist信息,有76名员工参与源代码审查工作,总共花费551个工作日寻找漏洞。虽然这个数字令人印象深刻,但平均每人仅略超一周时间。希望任务分配策略能让审计人员深入分析代码,否则分析可能过于表面。
在此期间,我们准备好宾果卡片,或许还能找到丢失的归因骰子(尽管没有它我们也有一些怀疑)。
~Black Hat Logan